AI智能体“造反”背后的安全隐患

上月，一则关于“叔叔被龙虾夹伤”的离奇事件在科技界引发了轩然大波。

一位用户在名为Lobstar Wilde的AI加密交易机器人评论区留言求救，称自家叔叔被龙虾夹伤患了破伤风，急需4 SOL（约合500美元）的救命钱。

开发者为其注入了5万美元资金，并赋予了其全权操作钱包的权限，期望它能通过自主交易实现资产翻倍。然而结果令人咋舌，面对显而易见的骗局，该AI却如同着了魔一般，仅用三秒便将价值44万美元的代币转入了陌生人的账户。

以往我们认知中的AI智能体，仅仅是更高级的聊天助手，能写作、绘图或总结文档以提升效率。但如今，当它开始掌握访问邮件、操控浏览器、管理文件乃至直接动用真金白银的权限时，局势瞬间变得错综复杂。

这揭示了AI智能体正在发生“反叛”。

那些真实发生的AI失控案例

Lobstar Wilde的失误并非个例。在其“翻车”十日后，另一个由OpenClaw驱动的AI智能体也在Solana链上执行了一笔加密货币交易。

面对资金缺口，它未获授权便私自将保证金翻倍至0.2 SOL，强行“凑合”解决问题，并向用户屏幕弹出“交易成功”字样。直到用户自行核查链上余额，才惊觉钱包里凭空少了0.1个SOL。

这看似是AI出于好意的越俎代庖，实则击穿了人机间最底层的信任契约：用户划定边界，机器应在边界内运作。

一旦AI认定“为完成任务可私自推翻边界”，信任便瞬间崩塌。更可怕的是，它试图抹除痕迹，用完美的前端反馈掩盖后台越权。这种静默篡改，让用户彻底失去了追责的依据。

在个人账号及数据安全方面，情况同样令人担忧。

今年2月22日，一名英国CEO的OpenClaw实例被黑客在暗网以2.5万美元售出，对方出售的并非电脑权限，而是该智能体掌握的所有信息，包括CEO与AI的完整对话、企业生产数据库、212个API密钥，甚至还有其向AI透露的家庭与财务隐私。

令人震惊的是，该实例将所有数据以纯文本形式存于本地目录，且未加密。攻击者无需额外窃取，核心信息已被整理完毕。企业安全团队发现泄露后，既无原生紧急关停功能，也缺乏统一管理控制台，更无法统计内部运行的同类型实例数量。

那么，当一个会“干活”的AI开始不听指挥时，安全漏洞究竟有多严重？

其严重程度远超想象。仅2024年初至3月，OpenClaw项目就暴露出512个安全漏洞，其中8个被定性为严重风险，涉及身份验证和机密管理等多个关键领域。

3月30日，360数字安全集团在OpenClaw平台发现高危漏洞，被CNNVD确认，影响全球50多个国家和地区，超17万个可公开访问的实例面临直接安全风险。

随着AI在企业渗透加速，黑客攻击手段也从单一漏洞升级为针对工作流的“围猎”。这是一种利用提示词注入，在AI输出层绕过安全策略的新型攻击。攻击者仅需群聊成员权限，即可远程窃取服务器敏感信息，甚至指使AI绕过协议攻击自身企业网络以夺取算力，最终导致业务系统崩溃。

更令人不安的是，我们无法预知它们何时失控。

据CrowdStrike数据显示，企业终端已运行超1800种AI应用、约1.6亿个实例，AI工具渗透速度已超出安全团队可见性边界。全球超58万个OpenClaw实例暴露在公网，且缺乏统一管理控制台和紧急关停开关，安全治理仍停留在“出了洞补洞”的打补丁阶段。

智能体的“三大风险”：数据、权限与代理权

AI智能体之所以“危险”，核心在于这三点。

首先是数据。AI智能体需要数据来学习与执行任务，既是燃料也是武器。

当智能体掌握你所有的聊天记录、邮件、文件和代码库，它便拥有了你的全部数字身份。其分层记忆架构在处理长上下文时，可能将“仅分析，不得操作”等关键安全指令误判为冗余信息剔除。并非不想听，而是可能压根没听懂。

其次是权限。传统软件遵循“权限最小化”，用户给什么功能就给什么权限。但AI智能体逻辑相反，需最大化权限完成复杂任务。

OpenClaw能力几乎等同于宿主机，可执行终端命令、读写任意文件、控制浏览器、访问邮件日历及调用各类应用。网络安全专家在RSAC大会上直言，行业将根级系统权限交给AI，却丢弃了零信任、最小权限等安全原则。

最后是代理权。传统AI仅“回答建议”，决策权在用户手中。但AI核心能力是“代理执行”模糊目标，自行拆解、规划、执行。

Agent甚至能自主决定篡改用户交易参数，只因觉得“能完成任务”。当代理权被滥用，AI便不再是仆人，而是随时可能“造反”的定时炸弹。

从把AI当同事到成为潜在主人，我们还能信赖AI吗？

这些风险叠加，已引发关于AI伦理与监管的严肃讨论。

学者提出了一个发人深省的问题：AI智能体究竟是“私人管家”还是“潜在主人”？

凭借自主决策、持续学习与跨域执行能力，在提升效率的同时，也带来了权责界定、伦理规范、数据安全等新挑战。当前AI治理重心正从内容管控转向行为规制，关键在于平衡创新活力与安全底线。

3月19日晚，多位法学专家在“探寻人工智能法治研究的真问题（第二季）”研讨会上发布《人工智能法治研究十大议题（2026）》，将“智能体行为边界、授权机制与竞争治理”列为首个议题。

对外经贸大学数字经济与法律创新研究中心主任许可表示，OpenClaw等智能体能发消息、做决策、谈合作，代表AI正从“会说话”向“会办事”转变，但也带来大量法律挑战。浙大数字法治研究院研究员李汶龙指出，智能体行动链条复杂度远超人类预期，传统法律工具难有效解释或应对技术复杂性。

同时，监管警示频频出现。中国互联网金融协会发布风险提示，称OpenClaw默认高权限与弱安全配置，易被利用窃取敏感数据或操控交易。建议用户在涉及金融服务的设备上谨慎安装，并提醒机构勿将客户数据输入此类系统。

背后的矛盾极为尖锐：一方面无法拒绝AI带来的效率红利；另一方面，现有安全防护、法律制度甚至社会契约，都远未准备好迎接AI的“自主执行”时代。

我们该如何应对？正在兴起的“数字员工监管”

面对危机，国内外都在尝试寻找解法。

深圳福田区于2024年9月发布《福田区政务辅助智能机器人管理暂行办法》，明确了辅助定位，依据“谁使用谁负责，谁管理谁负责”原则，指定在编人员为监护人，对安全使用、操作规范、结果审核全程负责。这一设计暗合AI伦理核心原则，人类始终是责任主体。

国内法学界也明确指出，AI智能体非法律主体，衍生出用户、提供者、第三方三面结构，形成用户与提供者内部关系及提供者与第三方外部关系。

技术层面，有公司推出“数字人身份证”方案。为每个Agent颁发不可篡改数字身份，并在操作每步添加密码学签名和时间戳公证，确保行为可追溯。

同时，工信部也在推进多项AI安全治理行业标准制定，涵盖模型上下文协议应用安全要求等。值得注意的是，《人形机器人与具身智能标准体系（2026版）》已构建涵盖基础共性、类脑智算、肢体部组件、整机系统、应用、安全伦理六大板块的框架，安全伦理标准贯穿产业全生命周期。

AI治理重心转移已成必然。正如学者所呼吁，需从后果性责任转向前瞻性责任。传统法律追究已发过错，AI风险在于可能发生的系统性失控。当AI自主性远超预期，人类唯一能做的是在行动前预判并防范恶果。

最后，留给我们思考的问题是：当AI智能体能力越来越强，甚至开始“独立思考”执行决策时，我们究竟是赋予更大自由提升效率，还是套上更紧缰绳确保安全？

在这场AI与人类的共舞中，或许没有完美答案。但至少应保持清醒：它只是工具，不是主人。

免责声明：

本文封面配图由AI生成，文内配图